翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Network Load Balancer のセキュリティポリシー
TLS リスナーを作成するときは、セキュリティポリシーを選択する必要があります。セキュリティポリシーによって、ロードバランサーとクライアント間の SSL ネゴシエーションでサポートされる暗号とプロトコルが決まります。要件が変化した場合や、新しいセキュリティポリシーがリリースされた場合は、ロードバランサーのセキュリティポリシーを更新できます。詳細については、「[セキュリティポリシーの更新](listener-update-certificates.md#update-security-policy)」を参照してください。
**考慮事項**
+ TLS リスナーにはセキュリティポリシーが必要です。リスナーの作成時にセキュリティポリシーを指定しない場合、デフォルトのセキュリティポリシーが使用されます。デフォルトのセキュリティポリシーは、TLS リスナーの作成方法によって異なります。
+ **コンソール** – デフォルトセキュリティポリシーは `ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09` です。
+ **その他の方法** (、 AWS CLI AWS CloudFormation、 など AWS CDK) – デフォルトのセキュリティポリシーは です`ELBSecurityPolicy-2016-08`。
+ 名前に PQ を含むセキュリティポリシーは、ハイブリッドポスト量子キー交換を提供します。互換性のために、従来の ML-KEM キー交換アルゴリズムとポスト量子 ML-KEM キー交換アルゴリズムの両方をサポートしています。クライアントは、キー交換にハイブリッドポスト量子 TLS を使用するには、ML-KEM キー交換をサポートする必要があります。ハイブリッドポスト量子ポリシーは、SecP256r1MLKEM768、SecP384r1MLKEM1024、および X25519MLKEM768 アルゴリズムをサポートしています。詳細については、[「ポスト量子暗号化](https://aws.amazon.com/security/post-quantum-cryptography/)」を参照してください。
+ AWS では、新しいポスト量子 TLS (PQ-TLS) ベースのセキュリティポリシー `ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09`または を実装することをお勧めします`ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09`。このポリシーは、ハイブリッド PQ-TLS、TLS 1.3 のみ、または TLS 1.2 のみをネゴシエートできるクライアントをサポートすることで下位互換性を確保し、ポスト量子暗号への移行中のサービスの中断を最小限に抑えます。クライアントアプリケーションがキー交換オペレーションのために PQ-TLS をネゴシエートする機能を開発するにつれて、より制限の厳しいセキュリティポリシーに段階的に移行できます。
+ Network Load Balancer に送信される TLS リクエストに関するアクセスログを有効にすると、TLS トラフィックパターンの分析、セキュリティポリシーのアップグレードの管理、問題のトラブルシューティングを行うことができます。ロードバランサーのアクセスログを有効にし、対応するアクセスログエントリを調べます。詳細については、「[アクセスログ](load-balancer-access-logs.md)」および「[Network Load Balancer のクエリ例](https://docs.aws.amazon.com/athena/latest/ug/networkloadbalancer-classic-logs.html#query-nlb-example)」を参照してください。
+ ロードバランサーへのアクセスリクエストの TLS プロトコルバージョン (ログフィールド位置 5) とキー交換 (ログフィールド位置 13) を表示するには、アクセスログを有効にし、対応するログエントリを調べます。詳細については、「[アクセスログ](load-balancer-access-logs.md)」を参照してください。
+ IAM AWS アカウント および AWS Organizations サービスコントロールポリシー (SCPs) で[それぞれ Elastic Load Balancing 条件キー](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security_iam_service-with-iam.html)を使用することで、 および 全体のユーザーが利用できるセキュリティポリシーを制限できます。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ TLS 1.3 のみをサポートするポリシーは、Forward Secrecy (FS) をサポートしています。TLS\_\* および ECDHE\_\* 形式の暗号のみを持つ TLS 1.3 および TLS 1.2 をサポートするポリシーも FS を提供します。
+ Network Load Balancer は、TLS 1.2 の拡張マスターシークレット (EMS) 拡張機能をサポートしています。
**バックエンド接続**
フロントエンド接続に使用するセキュリティポリシーは選択できますが、バックエンド接続に使用するセキュリティポリシーは選択できません。バックエンド接続のセキュリティポリシーは、リスナーのセキュリティポリシーによって異なります。リスナーが を使用している場合:
+ **FIPS ポスト量子 TLS ポリシー** - バックエンド接続の使用 `ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09`
+ **FIPS ポリシー** - バックエンド接続の使用 `ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04`
+ ポスト**量子 TLS ポリシー** - バックエンド接続の使用 `ELBSecurityPolicy-TLS13-1-0-PQ-2025-09`
+ **TLS 1.3 ポリシー** - バックエンド接続の使用 `ELBSecurityPolicy-TLS13-1-0-2021-06`
+ 他のすべての TLS ポリシーのバックエンド接続では、 `ELBSecurityPolicy-2016-08`
プロトコルと暗号は [describe-ssl-policies](https://docs.aws.amazon.com/cli/latest/reference/elbv2/describe-ssl-policies.html) AWS CLI コマンドを使用して記述できます。または以下の表を参照してください。
**Contents**
+ [TLS セキュリティポリシー](#tls-security-policies)
+ [ポリシー別のプロトコル](#tls-protocols)
+ [ポリシー別の暗号](#tls-policy-ciphers)
+ [暗号別のポリシー](#tls-cipher-policies)
+ [FIPS セキュリティポリシー](#fips-security-policies)
+ [ポリシー別のプロトコル](#fips-protocols)
+ [ポリシー別の暗号](#fips-policy-ciphers)
+ [暗号別のポリシー](#fips-cipher-policies)
+ [FS がサポートするセキュリティポリシー](#fs-security-policies)
+ [ポリシー別のプロトコル](#fs-protocols)
+ [ポリシー別の暗号](#fs-policy-ciphers)
+ [暗号別のポリシー](#fs-cipher-policies)
## TLS セキュリティポリシー
TLS セキュリティポリシーを使用すると、TLS プロトコルの特定のバージョンを無効にしてコンプライアンスおよびセキュリティ標準を満たす、または廃止済みの暗号を必要とするレガシークライアントをサポートすることができます。
TLS 1.3 のみをサポートするポリシーは、Forward Secrecy (FS) をサポートしています。TLS\_\* および ECDHE\_\* 形式の暗号のみを持つ TLS 1.3 および TLS 1.2 をサポートするポリシーも FS を提供します。
**Topics**
+ [ポリシー別のプロトコル](#tls-protocols)
+ [ポリシー別の暗号](#tls-policy-ciphers)
+ [暗号別のポリシー](#tls-cipher-policies)
### ポリシー別のプロトコル
以下は、各 TLS セキュリティポリシーがサポートしているプロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
| --- | --- | --- | --- | --- |
| ELBSecurityPolicy-TLS13-1-3-2021-06 |  はい |  いいえ |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 |  はい |  いいえ |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-2021-06 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-1-2021-06 |  はい |  はい |  はい |  いいえ |
| ELBSecurityPolicy-TLS13-1-0-2021-06 |  はい |  はい |  はい |  はい |
| ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 |  はい |  はい |  はい |  はい |
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 |  いいえ |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS-1-2-2017-01 |  いいえ |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS-1-1-2017-01 |  いいえ |  はい |  はい |  いいえ |
| ELBSecurityPolicy-2016-08 |  いいえ |  はい |  はい |  はい |
| ELBSecurityPolicy-2015-05 |  いいえ |  はい |  はい |  はい |
### ポリシー別の暗号
以下は、各 TLS セキュリティポリシーがサポートしている暗号の一覧です。
| セキュリティポリシー | 暗号 |
| --- | --- |
| ELBSecurityPolicy-TLS13-1-3-2021-06
ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-2021-06
ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-1-2021-06 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-0-2021-06
ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS-1-2-2017-01 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS-1-1-2017-01 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-2016-08 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-2015-05 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
### 暗号別のポリシー
以下は、各暗号をサポートしている TLS セキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
| --- | --- | --- |
| **OpenSSL** – TLS\_AES\_128\_GCM\_SHA256
**IANA** – TLS\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 1301 |
| **OpenSSL** – TLS\_AES\_256\_GCM\_SHA384
**IANA** – TLS\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 1302 |
| **OpenSSL** – TLS\_CHACHA20\_POLY1305\_SHA256
**IANA** – TLS\_CHACHA20\_POLY1305\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 1303 |
| **OpenSSL** – ECDHE-ECDSA-AES128-GCM-SHA256
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02b |
| **OpenSSL** – ECDHE-RSA-AES128-GCM-SHA256
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02f |
| **OpenSSL** – ECDHE-ECDSA-AES128-SHA256
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c023 |
| **OpenSSL** – ECDHE-RSA-AES128-SHA256
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c027 |
| **OpenSSL** – ECDHE-ECDSA-AES128-SHA
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c009 |
| **OpenSSL** – ECDHE-RSA-AES128-SHA
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c013 |
| **OpenSSL** – ECDHE-ECDSA-AES256-GCM-SHA384
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02c |
| **OpenSSL** – ECDHE-RSA-AES256-GCM-SHA384
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c030 |
| **OpenSSL** – ECDHE-ECDSA-AES256-SHA384
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c024 |
| **OpenSSL** – ECDHE-RSA-AES256-SHA384
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c028 |
| **OpenSSL** – ECDHE-ECDSA-AES256-SHA
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c00a |
| **OpenSSL** – ECDHE-RSA-AES256-SHA
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c014 |
| **OpenSSL** – AES128-GCM-SHA256
**IANA** – TLS\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 9c |
| **OpenSSL** – AES128-SHA256
**IANA** – TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 3c |
| **OpenSSL** – AES128-SHA
**IANA** – TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 2f |
| **OpenSSL** – AES256-GCM-SHA384
**IANA** – TLS\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 9d |
| **OpenSSL** – AES256-SHA256
**IANA** – TLS\_RSA\_WITH\_AES\_256\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 3d |
| **OpenSSL** – AES256-SHA
**IANA** – TLS\_RSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 35 |
## FIPS セキュリティポリシー
連邦情報処理規格(Federal Information Processing Standards/FIPS)は、機密情報を保護する暗号モジュールのセキュリティ要件を規定する米国政府とカナダ政府のセキュリティ基準です。詳細については、「*AWS クラウドセキュリティコンプライアンス*」ページの「[連邦情報処理規格 (FIPS) 140](https://aws.amazon.com/compliance/fips/)」を参照してください。
FIPS ポリシーはすべて AWS-LC FIPS で検証済みの暗号化モジュールを利用しています。詳細については、サイト「*NIST Cryptographic Module Validation Program*」の「[AWS-LC Cryptographic Module](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4631)」のページを参照してください。
**重要**
ポリシー `ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04` と `ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04` はレガシー互換性のためにのみ提供されています。これらは FIPS140 モジュールを使って FIPS 暗号化を使用しますが、TLS 設定に関する最新の NIST ガイダンスに準拠していない場合があります。
**Topics**
+ [ポリシー別のプロトコル](#fips-protocols)
+ [ポリシー別の暗号](#fips-policy-ciphers)
+ [暗号別のポリシー](#fips-cipher-policies)
### ポリシー別のプロトコル
以下は、各 FIPS セキュリティポリシーがサポートしているプロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
| --- | --- | --- | --- | --- |
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 |  はい |  いいえ |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 |  はい |  いいえ |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 |  はい |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 |  はい |  はい |  はい |  いいえ |
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 |  はい |  はい |  はい |  はい |
| ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 |  はい |  はい |  はい |  はい |
### ポリシー別の暗号
以下は、各 FIPS セキュリティポリシーがサポートしている暗号の一覧です。
| セキュリティポリシー | 暗号 |
| --- | --- |
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
### 暗号別のポリシー
以下は、各暗号をサポートしている FIPS セキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
| --- | --- | --- |
| **OpenSSL** – TLS\_AES\_128\_GCM\_SHA256
**IANA** – TLS\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 1301 |
| **OpenSSL** – TLS\_AES\_256\_GCM\_SHA384
**IANA** – TLS\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 1302 |
| **OpenSSL** – ECDHE-ECDSA-AES128-GCM-SHA256
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02b |
| **OpenSSL** – ECDHE-RSA-AES128-GCM-SHA256
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02f |
| **OpenSSL** – ECDHE-ECDSA-AES128-SHA256
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c023 |
| **OpenSSL** – ECDHE-RSA-AES128-SHA256
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c027 |
| **OpenSSL** – ECDHE-ECDSA-AES128-SHA
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c009 |
| **OpenSSL** – ECDHE-RSA-AES128-SHA
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c013 |
| **OpenSSL** – ECDHE-ECDSA-AES256-GCM-SHA384
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02c |
| **OpenSSL** – ECDHE-RSA-AES256-GCM-SHA384
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c030 |
| **OpenSSL** – ECDHE-ECDSA-AES256-SHA384
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c024 |
| **OpenSSL** – ECDHE-RSA-AES256-SHA384
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c028 |
| **OpenSSL** – ECDHE-ECDSA-AES256-SHA
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c00a |
| **OpenSSL** – ECDHE-RSA-AES256-SHA
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c014 |
| **OpenSSL** – AES128-GCM-SHA256
**IANA** – TLS\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 9c |
| **OpenSSL** – AES128-SHA256
**IANA** – TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 3c |
| **OpenSSL** – AES128-SHA
**IANA** – TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 2f |
| **OpenSSL** – AES256-GCM-SHA384
**IANA** – TLS\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 9d |
| **OpenSSL** – AES256-SHA256
**IANA** – TLS\_RSA\_WITH\_AES\_256\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 3d |
| **OpenSSL** – AES256-SHA
**IANA** – TLS\_RSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | 35 |
## FS がサポートするセキュリティポリシー
FS (Forward Secrecy) がサポートするセキュリティポリシーは、一意のランダムセッションキーを使用して、暗号化されたデータの盗聴に対する追加の保護を提供します。これにより、シークレットの長期キーが侵害された場合でも、キャプチャされたデータのデコードを阻止できます。
このセクションのポリシーは FS をサポートしており、名前には「FS」が含まれています。ただし、これらは FS をサポートする唯一のポリシーではありません。TLS 1.3 のみをサポートするポリシーは FS をサポートします。TLS\_\* および ECDHE\_\* 形式の暗号のみを持つ TLS 1.3 および TLS 1.2 をサポートするポリシーも FS を提供します。
**Topics**
+ [ポリシー別のプロトコル](#fs-protocols)
+ [ポリシー別の暗号](#fs-policy-ciphers)
+ [暗号別のポリシー](#fs-cipher-policies)
### ポリシー別のプロトコル
以下は、FS がサポートする各セキュリティポリシーがサポートしている、プロトコルの一覧です。
| セキュリティポリシー | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
| --- | --- | --- | --- | --- |
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |  いいえ |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-FS-1-2-Res-2019-08 |  いいえ |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-FS-1-2-2019-08 |  いいえ |  はい |  いいえ |  いいえ |
| ELBSecurityPolicy-FS-1-1-2019-08 |  いいえ |  はい |  はい |  いいえ |
| ELBSecurityPolicy-FS-2018-06 |  いいえ |  はい |  はい |  はい |
### ポリシー別の暗号
以下は、FS がサポートする各セキュリティポリシーがサポートしている、暗号の一覧です。
| セキュリティポリシー | 暗号 |
| --- | --- |
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-FS-1-2-Res-2019-08 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-FS-1-2-2019-08 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-FS-1-1-2019-08 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
| ELBSecurityPolicy-FS-2018-06 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) |
### 暗号別のポリシー
以下は、各暗号をサポートしている、FS がサポートするセキュリティポリシーの一覧です。
| 暗号名 | セキュリティポリシー | 暗号スイート |
| --- | --- | --- |
| **OpenSSL** – ECDHE-ECDSA-AES128-GCM-SHA256
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02b |
| **OpenSSL** – ECDHE-RSA-AES128-GCM-SHA256
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02f |
| **OpenSSL** – ECDHE-ECDSA-AES128-SHA256
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c023 |
| **OpenSSL** – ECDHE-RSA-AES128-SHA256
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c027 |
| **OpenSSL** – ECDHE-ECDSA-AES128-SHA
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c009 |
| **OpenSSL** – ECDHE-RSA-AES128-SHA
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c013 |
| **OpenSSL** – ECDHE-ECDSA-AES256-GCM-SHA384
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c02c |
| **OpenSSL** – ECDHE-RSA-AES256-GCM-SHA384
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c030 |
| **OpenSSL** – ECDHE-ECDSA-AES256-SHA384
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c024 |
| **OpenSSL** – ECDHE-RSA-AES256-SHA384
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c028 |
| **OpenSSL** – ECDHE-ECDSA-AES256-SHA
**IANA** – TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c00a |
| **OpenSSL** – ECDHE-RSA-AES256-SHA
**IANA** – TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/describe-ssl-policies.html) | c014 |